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(57) Abstract: The invention relates to a method for improving monitoring measures in telecommunication and data networks 
(typically IP -based networks with an Internet and Intranet connection). Improved technological developments nowadays result in 
packet-oriented mobile radio networks (GSM/GPRS, UMTS etc.) and an increased number of Internet connections via a fixed 
network offering cost-optimised Internet access by means of flat rates or always on packages .Since an insufficient number of pub- 
lic Internet addresses is available, said addresses must be multiplied by means of port sharing (PAT), timesharing (NAT), applica- 
tions-sharing (Proxy) or other methods. When an address is transformed at the boundary of the network (AN) the external addressing 
parameters are not, however, available inside the network-internal communication protocols, whereby monitoring measures can only 
be carried out in a limited manner via the network boundaries. According to the invention, this problem is solved by incorporating 
the converting devices into the monitoring measure by means of selectively used technical creations and the dynamic addressing 
parameters are stored along with the added time and date, thereby making it possible to request information in a current/posterior 
mode beyond network boundaries (Internet etc.) in accordance with the Law. The inventive solution is economical and does not 
hinder performance. 

(57) Zusammenfassung: Die vorliegenden Ertindung betrifft ein Verfahren zur Verbesserung von Uberwachungsmassnahmen in Te- 
lekommunikations- und Datennetzen (typischerweise IP-basierten Netzen mit Internet- und Intranet-Anschluss). Durch verbesserte 
technologische Entwicklungen entstehen z.Z. paketorientierte Mobilfunknetze (GSM/GPRS, UMTS etc.) einerseits sowie vermehrt 
Internet- Anschlusse uber Festnetz andererseits, die kostenoptimierte Intemetzugange mittels Flat rate oder Always on Tarifen bie- 
ten. Da offentliche Internet- Adres sen nicht in ausreichendem Masse zur Verfiigung stehen, mussen diese uber Port-Sharing (PAT), 
Timesharing (NAT), Applications-Sharing (Proxy) oder andere Verfahren vervielfaltigt werden. Bei einer Adresstransformation an 
der Netzgrenze (AN) stehen die extemen Adressierungsparameter jedoch innerhalb der netzinternen Kommunikationsprotokolle 
nicht zur Verfiigung, so dass Uberwachungsmassnahmen iiber Netzgrenzen nur eingeschrankt realisierbar sind. Die vorliegende 
Erfindung beseitigt dieses Problem, indem die konvertierenden Einrichtungen iiber wahlweise zum Einsatz kommende technische 
Realisierungen in die Uberwachungsmassnahme einbezogen werden und die dynamischen Adressierungsparameter unter Hinzufu- 
gung von Uhrzeit und Datum abgespeichert werden, wodurch ein aktuelles und/oder nachtragliches Auskunftsersuchen auch uber 
Netzgrenzen (Internet etc.) im Sinne des Gesetzgebers ermoglicht wird. Der Betrachtungsschwerpunkt liegt auf einer kostengunsti- 
gen und performanceschonenden Losung. 
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Verfahrezi zur Durchfiihrung von Uberwachungsmafinahmen und 
Auskunf t:sersuchen In Telekoimminikatlons- und Datennetzen 
mit beispielsweise Internet Protokoll (IP) 

5 Die Erfindung betrif ft ein Verfahren zur Durchf uhrung von 
UberwachungsmaSnahmen und Auskunf tsersuchen in 
Telekommunikations- und Datennetzen mit beispielsweise 
Internet-Protokoll (IP) .nach dem Oberbegriff des 
Patentanspruchs 1 . 

10 Die tiberwachung von Telekoininunikationsdiensten ist in 
Deutschland gesetzlich geregelt. Die prinzipielle 
Verf ahrensweise zur Durchf uhrung von Teilnehmer- 
UberwachungsmaSnahmen in mobilen Telekoinmunikationsnetzen 
ist beispielsweise im ETSI-Standard GSM 03.33 (Tdoc SMGIO 

15 98 D047) beschrieben. 

Pake tor lent ierte Telekommunikationsnetze sind 
beispielsweise zellulare Mobil funknetze nach dem GSM- 
Standard mit GPRS-Ubertragungsverf ahren (ETSI GSM 03.60), 

20 Im Gegensatz zu leitungsvermittelten Diensten werden 
hierbei die einzelnen Datenpakete mit Ubertragungs- 
kontroll- Protokoll /Internet-Protokoll (Transmission Control 
Protocol /Internet Protocol TCP/IP gemaiS Internet 
Engineering Task Force lETF-Standard RFC 793 /RFC 791) 

25 einzeln im Netz iibertragen. Somit kann bereits auf der 
Luf tschnittstelle sowie im weiterf iihrenden Netz eine 
Mehrf achnutzung mehrerer Kunden im Timesharing-Verf ahren 
auf den gleichen Ubertragungskanalen erfolgen. 

30 Die ubliche Zuordnung zwischen Datenubertragungskanal und 
Kommunikationsteilnehmer ist hier nicht mehr gegeben. 
Da das im Internet verwendete TCP/IP heute mit Abstand den 
groSten Verbreitungsgrad hat, andererseits protokoll- und 
teilnehmerbedingt grofie ubertragungsf reie Zeiten und 

35 burs tar tige Datenubertragungszyklen vorhanden sind, kann 
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die gemeinsame Nutzung von Ubertragungskanalen durch 
mehrere Kunden zu grofierer Wirtschaf tlichkeit ftihren. 

Eine transparente Nutzung eines Ubertragungskanals pro 
5 Kunde fur beispielsweise Internetdienste war im 

Mobil funkbereich bisher ebenfalls moglich (GSM-Bearer- 
Services von 2,4 kbps bis 14,4 kbps), die Nutzung 
scheiterte jedoch weitgehend an den hohen Kosten. 
Vergleichbares gilt fur die exklusive Nutzung mehrfach 
10 geketteter Kanale (HSCSD) . 



Ein ahnliches Verfahren wird beim Festnetz-Internet-Zugang 
genutzt. Systembedingt besitzt hier jeder Teilnehmer seine 
eigene Teilnehmeranschluf^leitung und nutzt diese bis zur 

15 Vermitt lungs s telle exklusiv. Dort wird der Internetverkehr 
jedoch iiber sog. Remote Access-Server (RAS-Server) 
ausgekoppelt und auf gemeinsam genutzten IP- 
Ubertragungskanalen gefiihrt. Diese Verf ahrensweise 
(Ortsverbindung) spart Leitungskosten im Gegensatz zu einer 

20 leitungsgef iihrten Verbindung zu einem zentralen Ubergang 
(Fernverbindung) . Es wird im analogen Netz, im ISDN-Net z 
sowie bei den xDSL-Verf ahren angewandt . 

Bedingt durch diese Verfahren im Fest- oder Mobilf unknetz 
25 konnen Ubertragungskosten eingespart werden. Die Zeitdauer 
der Einwahl zu einem Internet Service Provider ist daher 
nicht mehr der kostenbestimmende Faktor. 



Im Mobilf unkbereich kann nicht auf eine vorhandene 
30 Kabelinf rastruktur zurtickgegrif f en werden. Daher sind die 
Kosten hoher als im Festnetzbereich und erfordern 
zusatzliche Leistungsmerkmale als Nutzungsanreiz . 

Eine Moglichkeit hierzu ist das Angebot eines Always 
35 connect/Always on-Dienstes. Durch dieses Verfahren ist der 
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Kunde immer mit seinem Kommunikationspartner (z.B. 
Internet) verbunden und spart jeweils die Aktivierungs , - 
Einwahl-, Authentisierungs- und Adressierungsaufwand. 
Im verkehrsf reien Zustand werden dabei kaum Netz-Resources 
belegt, so dass die Attraktivitat des Netzes bei giinstiger 
Kostensituation steigt . 

Durch diese Verf ahrensweise entstehen jedoch andere 
Pr obi erne . Zur Koittmunikation im offentlichen Internet werden 
offentliche IP-Adressen benotigt. Wenn die Connection Time 
keine nennenswerten Kosten verursacht, werden Millionen von 
Mobilf unk-Kunden diesen Service nutzen, so dass Millionen 
von IP-Adressen erf orderlich sind. 

Dem gegenuber sind weltweit kaum noch nennenswerte Adress- 
Kontingente bei den internationalen 

Verwaltungsinstitutionen (Toplevel Registry lANA/ ICANN, 
bzw. Europa-Registry RIPE-NCC) erhaltlich. 
Urn dennoch einen wettbewerbsf ahigen Service anbieten zu 
konnen, muss daher ein Ausweg aus der IP-Adressproblematik 
gefunden werden. Es bieten sich Verfahren an, die 
offentlichen IP-Adressen mehrfach zu nutzen (Multiplex, 
Timesharing etc.). Alle diese Verfahren besitzen jedoch 
prinzipbedingt die Funktionalitat , dass eine Umsetzung der 
IP-Adressen an der Netzgrenze zwischen 

Telekommunikationsnetz und externem Netz, Internet etc. 
stattfinden muS. Die externe IP-Adresse (bei Network 
Address Translation NAT) , oder der externe Sessionbezug 
(bei Proxy-Einsatz ) ist in den Ubertragungsprotokollen auf 
der Teilnehmerseite in diesen Fallen nicht enthalten. 

Der teilnehmerbezogene Datenverkehr wird im Falle einer 
Uberwachungsmafinahme teilnehmernah (meist in der ersten 
Vermittlungss telle) ausgekoppelt und als Kopie zu den 
entsprechenden Bedarf stragern (Law Enforcement Agency LEA) 
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geschickt, Bei dieser Verf ahrensweise konnen beliebige 
Teilnehmeranschliisse (hier Mobile Terminal MT) uberwacht 
warden . 

5 Ein Problem besteht jedoch dann, wenn eine netzexterne 
Einrichtung, beispielsweise ein Server im Internet, eine 
Teilnehmereinrichtung (Computer oder Telefon) eines 
ebenfalls an das Internet angeschlossenen 
Telekommunikations-oder Datennetzes etc. (hier 
0 stellvertretend als Observed Station OS bezeichnet) einer 
Uberwachungsmassnahme unterliegt . 

In diesem Fall kann es erforderlich sein, dass die 
Identitat eines Kommunikationspartners im primaren 
Telekommunikations- oder Datennetz ermittelt werden muss 
(Riickverf olgung) . Wenn der betref fende Teilnehmer nicht 
ebenfalls einer Uberwachungsmassnahme unterliegt, kann der 
Teilnehmer nur nachtraglich (Auskunf tsersuchen) ermittelt 
werden. Diese Verf ahrensweise ist beispielsweise im 
Telef onverkehr ublich. Hier ist der Teilnehmer bei Angabe 
der betref fenden Telef onnummer ermittelbar, da die 
Kommunikat ionsbe z iehungen ( Tele f ona t e ) mi t 
Ruf nummernzuordnung sowie Zeit- und Datumsvearmerk 
gespeichert werden. 

Im Datenverkehr ist eine Teilnehmerermittlung ebenfalls 
moglich, falls der ISP des MT die Zugangsdaten 
(beispielsweise Internet-Adresse und Teilnehmerkennung) 
speichert . 

Im besonderen Betrachtungsf all werden jedoch die 
kennzeichnenden Merkmale einer Internet-Verbindung 
(insbesondere IP-Adresse) im Access-Netzwerk des 
Telekommunikationsnetzes geandert, bzw. es handelt sich urn 
dynamisch zugeordnete Daten. Diese werden in der Regel 
nicht gespeichert und ein Bezug zu den internen 
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Kommunikationsparametern (netzinterne IP-Adresse , 
Telef onnuinmer o.a.) ist nicht gegeben, bzw. kann 
nachtraglich nicht ermittelt warden. 

5 In diesen Fallen ist eine Riickverf olgung bei 

Auskunf tsersuchen von Kommunikationsverbindungen zwecks 
Ermittlung der Teilnehmeridentitat im Zuge von externen 
Uberwachungsmafinahmen im Internet oder in anderen 
Telekomxnunikationsnetzen liber die eigene Netzgrenze sowohl 
10 aktuell, als auch nachtraglich nicht moglich. Dies kann 
auch fur interne Kommunikationbeziehungen gel ten, wenn 
beispielsweise auch die interne IP-Adresse dynamisch 
zugeordnet ist. 

15 Die Umsetzung der gesetzlichen Anf orderungen ist mit den 

bestehenden technischen Moglichkeiten nur sehr begrenzt und 
liickenhaft moglich, wodurch sich ein iiberwachungsf reier 
Raum fur gesetzwidrige Handlungen ergibt . 

20 

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein 
Verfahren vorzuschlagen, auf dessen Basis eine erweiterte 
Uberwachung beispielsweise von IP-basierenden 
Telekommunikations- und Datennetzen gemafi der gesetzlichen 

25 Richtlinien moglich ist, um die Uberwachungslucke zu 
schlieSen, die dadurch entsteht, dass Adressen an der 
Netzgrenze zu anderen Telekommunikations- und Datennetzen 
(z.B. offentliches Internet) geandert werden miissen und 
iibergrei f ende Telekommunikations - und/ oder 

30 Datenverbindungen bisher nicht vollstandig observiert 
werden konnen, insbesondere nicht ruckverfolgt werden 
konnen . 

Gelost wird diese Aufgabe durch die kennzeichnenden 
35 Merkmale des Patentanspruchs 1. 
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In den Unteransprlichen sind vorteilhaf te Weiterbildungen 
der Erfindung beschrieben. 

5 Durch die klare Zuordnung der extern und internen 
verwendeten Koiranunikationsparametern bzw. 

Adressierungsparametern bis hin zur offiziellen eindeutigen 
Teilnehmererkennung (z. B. Teilnehmerruf nummer ) und der 
dadurch eindeutigen Zuordnung des/der an einer 

10 Kommunikation beteiligten Teilnehmer in Verbindung der 
zentralen oder dezentralen Speicherung dieser Datensatze 
unter Hinzufiigung von Zeit und Datum ist eine liickenlose 
Ruckverf olgung aller Netzteilnehmer , die aktuell an einer 
Kommunikation teilnehmen oder in der Vergangenheit 

15 teilgenommen haben liickenlos moglich. 

Die Erfindung wird unter Verwendung von Zeichnungsf iguren, 
die hier lediglich eine mogliche Ausf iihrungsart am Beispiel 
des GPRS-Dienstes (General Packet Radio Service) in einem 
20 GSM-Netz (Global System for Mobile communications) in 
schematischer Darstellung beschreiben, erlautert, wobei 
sich anhand der Zeichnungsf iguren weitere Anwendungsgebiete 
und Anspriiche ergeben. 

25 Die erf indungsgemafie Verf ahrensweise ist dabei nicht auf 
die Anwendung in Mobilf unknetzen und nicht auf die 
Anwendung in diesem beispielhaf ten GSM/GPRS-Netz 
beschrankt . 

30 Fig. 1 zeigt die prinzipielle Verf ahrensweise zur 

Uberwachung von Teilnehmeranschlussen im Mobilf unk-Bereich. 



Die prinzipielle GPRS-Funktionalitat ist beispielsweise in 
ETSI GSM 03.60 beschrieben. Ein Mobile Terminal (MT) 
35 kommuniziert in der Art mit dem Mobilf unknetz , dass sowohl 
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Sprachverbindungen, als auch Datenverbindungen liber das 
Base Station Subsystem BSS in das GSM-Netz ein- 
/ausgekoppelt werden . 

5 Bei den aktuellen Netzen wird die Sprache mittels Mobile 
Switching Center MSG ( ISDN-Vermittlungss telle ) 
weitergef iihrt , wahrend die paketorientierten Daten liber 
getrennte Netzkomponenten/Vermittlungskomponenten gef uhrt 
werden . 

10 Dabei erfolgt zunachst ein Verbindungsauf bau (GPRS Service 
Activation) zum SGSN (Switching GPRS Support Node) . Dort 
wird der Teilnehmer authentisiert und der Verbindungswunsch 
saint Verbindungsberechtigung iiberpruft. Im positiven Fall 
wird ein PDP Context (Packed Data Protocol) zum GGSN 

15 (Gateway GPRS Support Node) auf gebaut . 

Der GGSN ist im Prinzip ein IP-Router, der die Verbindung 
zum externen Netz herstellt. 

Hierzu fiihrt der GGSN f allspezif isch beispielsweise eine 
20 Authentisierung zu einem ISP (Internet Service Provider) 
mittels RADIUS- Pro zedur durch (Remote Access Dial in User 
Service) , wie sie im Festnetz vergleichbar bei der Einwahl 
zum ISP durchgefiihrt wird. 

AnschlieSend erhalt der GGSN die ISP-seitige IP-Adresse und 
25 iibermittelt diese an das MT. In anderen Fallen ordnet der 
GGSN eine eigene offentliche IP-Adresse aus dem eigenen 
Pool des Netzbetreibers zu, oder er verwendet eine private 
IP-Adresse (RFC 1918) , beispielsweise wenn IP-Server im 
eigenen Netz adressiert werden. 
30 Diese Funktionalitat ist beispielsweise bei WAP-Betrieb 
iiblich (Wireless Application Protocol) . Die Notwendigkeit 
der offentlichen IP-Adressen ist in TCP/IP, Dr. Sidnie 
Feit, McGraw-Hill, ISBN 0-07-022069-7, an s. 101 
beschrieben . 
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Das Notebook (NB) ist optional und ermoglicht die 
Verwendung einer standardisierten Personal Computer- (PC) 
Umgebung mit Betriebs system, Browser, Client Software etc. 
im Anschluss an beispielsweise das offentliche Internet. 

5 

Sind langer bestehende Sessions erforderlich (z.B, Always 
connect /Always on-Betrieb) , dann kann aufgrund der knappen 
Ressource „Offentliche IP-Adresse" keine offentliche IP- 
Adresse wahrend der gesamten Zeit bereitges tellt werden. 
10 Abhilfe schafft beispielsweise NAT (Network Address 

Translation) , wahlweise mit PAT (Port Address Translation, 
gemafi RFC 1631 u. 2 6 63) bzw. der Einsatz von Application 
Gateways (AG) oder Proxy-Losungen (HTTP, TCP/IP, Dr. Sidnie 
Feit, McGraw-Hill, ISBN 0-07-022069-7 , S . 670). 

15 

Diese Verfahren nutzen Timesharing oder Multiplexverf ahren 
von IP-Adressen. 

Netzintern werden dabei private IP-Adressen verwendet, 
netzextern hingegen offentliche IP-Adressen. Die Umsetzung 
20 erfolgt im AN (hier stellvertretend fur AN und/oder GGSN) . 

Ein Teil der beschriebenen Funktionalitat kann alternativ 
zum GGSN auch in einem separaten Access Network (AN) 
angeordnet sein, dass innerhalb oder aufierhalb des 
25 eigentlichen GPRS Netzwerkes angesiedelt ist. Diese 

Anordnung erlaubt ggf . mehr Flexibilitat und zusatzliche 
Funktionalitat. Hier kann beispielsweise auch ein Firewall 
mit Schutzf unktion und/oder eine Serverfarm etc. 
installiert sein. 

30 

Im folgenden steht der Ausdruck Access Network AN als 
Stellvertreter fur die Funktionalitat der 
Adresskonvertierung, unabhangig davon, in welcher 
Komponente die Transformation technisch tatsachlich 
35 realisiert ist. 
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Die UberwachungsmaSnahmen fur das gesamte Netz werden im 
ICC (Interception Control Center) administriert . Dort wird 
insbesondere eine Liste der Subscriber 
5 (Teilnehmerruf nummern/Warrants ) gepflegt, die der MaSnahme 
jeweils aktuell unterliegen. Diese Teilnehmerdaten werden 
in Form der Rufnuimnern ( Im GSM-Netz die IMSI oder MSISDN) 
zu den Netzknoten ubertragen (MSC/SGSN) . Danach werden die 
betreffenden Teilnehmer automatisch endgeratenah iiberwacht . 

10 Jeglicher Verkehr, der zum/vom Teilnehmer durch den 

Vermittlungsknoten transportiert wird, wird kopiert und 
uber das ICC zum Bedarf strager (LEA/ Law Enforcement 
Agency) ubermittelt. Das ICC steht dabei synonym auch fur 
die Ubermittlung des Verkehrs zum LEA. 

15 Die technische Realisierung kann bedarfsweise eine 

unmittelbare Ubertragung bestimmter Daten seitens einiger 
Oder mehrerer Netzknoten zum LEA (oder mehreren Leas) 
vorsehen, wenn dadurch fiber tragungskos ten gespart werden. 
Der Vorgang wird jedoch stets vom ICC administriert (ggf . 

20 vom LEA iiber das ICC) . Zur Vereinf achung der Erlauterungen 
wird im weiteren Text von einer beiderseitigen 
Kommunikation iiber das ICC ausgegangen. Die Vereinf achung 
steht dabei stellvertretend auch ftir alle administrierten 
Sonderiibertragungen . 

25 

Alternativ zur IMSI /MSISDN konnen bei anderen Datennetzen, 
beispielsweise dem Internet, andere Subscriber-Kennungen 
wie beispielsweise die TCP-Adresse (optional in Kombination 
mit der IP-Port-Nummer ) verwendet werden. 

30 

Bei dieser Verf ahrensweise konnen beliebige netzinterne 
Teilnehmer uberwacht werden. Es ist, wie bereits erlautert, 
jedoch nicht moglich, netzinterne Teilnehmer aktuell oder 
nachtraglich zu ermitteln (zuruck zu verfolgen) die eine 
35 Kommunikationsverbindung (Session o.a.) zu einer 
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netzexternen Stelle OS unterhalten und dabei netzintern 
keiner Uberwachung unterliegen. 

Die netzexternen Koimnunikationsmerkmal (IP-Adresse, die 
5 TCP-Port-Adresse , Proxy- Session-Kennung auf 

Applikationsebene etc.). konnen in der Kegel seitens ICC 
weder aktuell abgefragt, noch nachtraglich ermittelt 
werden, da im Netz keine Zuordnungstabelle mit diesen 
War ten zu der intern verwendeten IP-Adresse und wiederum zu 
10 der Teilnehmerkennung (Ruf nummer ) vorhanden ist und auch 
nicht mit Uhrzeit und Datum versehen, gespeichert wird. 

Zudem werden die externen Access-Parameter bei NAT und/oder 
Proxy-Betrieb im zeitlichen Verlauf dynamisch geandert, was 
15 erschwerend hinzu kommt . 

Die gleiche Observierungslucke kann auch bei netzinternem 
Datenverkehr vorhanden sein (Mobile- to -Mobile) , wenn auch 
die interne IP-Adresse dynamisch zugeordnet ist (das durfte 
der Regelfall sein) . 

20 

Im weiteren Text wird davon ausgegangen, dass das 
Auskunf sersuchen im ICC bearbeitet wird, da an diesem Ort 
besonders qualif iziertes und vereidigtes Personal vorhanden 
25 ist und besondere Sicherheitsvorkehrungen getroffen sind, 
um die Datenschutzanf orderungen zu erfiillen. Diese 
vereinf achende Annahme beinhaltet auch technische 
Alternativen, wie beispielsweise ein separates 
Auskunf tszentrum . 

30 

Fig. 2 zeigt eine erf indungsgemafie Verf ahrensweise zur 
Behebung der Nachteile. 
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Diese Verf ahrensweise ist geeignet, um Auskunf tsersuchen 
von bestehenden Kommunikationsverhaltnissen unter 
wirtschaf tlichen Gesichtspunkten zu erm5glichen. 

5 Im ICC wird eine Abfrage zu der/den betreffenden Netzknoten 
bzw. technischen Einrichtungen gestartet, die an der 
Kommunikationsbeziehung eines Teilnehmers (MT) in der Art 
beteiligt sind, dass dort kennzeichnende Merkmale der 
jeweiligen Verbindung verwaltet und bedarfsweise 
10 gespeichert werden. 

Im Einzelfall konnen dies unterschiedliche Komponenten 
sein, je nach technischer Implementierung , Beispielsweise 
kann das AN (2.2) die Parameter Interne IP-Adresse und 

15 zugehorige externe IP-Adresse (Access-Daten) beinhalten 
(2.4), wahrend im Home Location Register HLR die 
Teilnehmerkennung (Rufnummer MS I SDN) sowie die fest 
zugeordnete interne IP-Adresse gespeichert ist. In diesem 
Fall erfolgt beispielsweise eine erste Abfrage (2.1) zwecks 

20 Ermittlung der internen IP-Adresse auf Basis der bekannten 
externen IP-Adresse und anschlieSend eine HLR-Abfrage 
(2.3) zur Ermittlung der Teilnehmer-Ruf nummer (MSISDN) auf 
der Basis der internen IP-Adresse. 

25 In einem alternativen Fall kann beispielsweise die 

Zuordnung einer internen dynamischen IP-Adresse zu einer 
Teilnehmerkennung im GGSN vorgenommen werden. Dann muss die 
MSISDN Oder eine vergleichbare Kennung (z.B. IMSI o.a.) auf 
Basis der aus dem AN bekannten internen IP-Adresse (2.1) 

30 mittels Abfrage aus dem GGSN ermittelt werden . 

Da die kennzeichnenden Merkmale einer Verbindung wahrend 
der gesamten Verbindung bekannt sein mussen (dies 
beinhaltet auch dynamische Anderungen wahrend der 
35 Verbindung) , sind die jeweils aktuellen Parameter zumindest 
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wahrend der Verbindung temporar in den betreffenden 
Netzeinrichtungen gespeichert. 

Ein drittes Beispiel liegt vor, wenn die 
5 Adresskonvertierung auch im GGSN vorgenommen wird, dann 
reicht optional eine einzige Abfrage, da eine 
Zuordnungsliste externa IP-Adresse, interne IP-Adresse und 
MSISDN in einem Netzknoten vorhanden sind. 



10 Diese Beispiele beschreiben unterschiedliche 

Realisierungsvarianten, die alle auf dem Grundsatz beruhen, 
dass die an der Konvertierung von 

Adressierungsinf ormationen beteiligten Netzkomponenten 
jeweils autortiatisch eine aktuelle Zuordnungstabelle aller 

J5 Teilnehmer (MT) pflegen, die von externer Stelle 

(beispielsweise ICC) automatisch oder manuell abgefragt 
werden kann. Eine zentrale Losung besteht in diesem Sinne 
darin, dass eine zentrale Instanz alle betreffenden Daten 
aller Teilnehmer des Kommunikationsnetzes dynamisch 

20 verwaltet, und diese Daten optional automatisch netzweit 
einsammelt oder zugestellt bekommt, soweit nicht alle 
erf orderlichen Daten in diesem zentralen Knoten prasent 
sind. 



25 Eine weiterhin optionale Verf ahrensweise ist gegeben, wenn 
die betroffenen Netzknoten die erf orderlichen Inf ormationen 
praventiv sammeln, indem alle relevanten Inf ormationen zu 
einem zentralen Knoten, einer zentralen Datenbank, oder dem 
ICC versenden, wobei das ICC die Abfrage zwecks 

30 Riickverf olgung von Kommunikationsbeziehungen auf einen 

einzigen Knoten oder alternativ die eigene Datenbank, bzw. 
einen eigenen Speicher konzentrieren kann, oder wiederum 
optional das ICC selbst diese zentrale Sammelstelle 
darstellt . 
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Die aufgefuhrte Verf ahrensweise ermoglicht bei 
unterschiedlicher technischer Ausgestaltung die Ermittlung 
bestehender Kommunikationsbeziehungen, bzw. der beteiligten 
Kommunikationspartner . 

5 

Was auf dieser Basis jedoch immer noch nicht moglicli ist, 
ist die nachtragliche Ermittlung von 
Kommunikationsbeziehungen . 

Um dies zu gewahrleisten, ist es erf orderlich, dass die 
10 erf orderlichen Parameter in einer Datenbank bzw. Datei 
unter zusatzlicher Komplettierung um zumindest die 
Parameter Uhrzeit und Datum erfasst und fiir den spateren 
Zugriff zumindest zeitweise archiviert werden. 

15 Fig. 3 zeigt eine verbesserte erf indungsgemaSe 
Losungsvariante . 

In diesem Fall wird die interne IP-Adresse auf Basis der 
bekannten externen IP-Adresse beim AN (3.2) erfragt (3.1), 
20 wobei das AN uber eine Datenbasis DB (3.4) verfiigt. Hier 
sind zusatzlich Datum und Uhrzeit als Erweiterung der 
Paramertsatze gespeichert . 

Bei diesem Beispiel wird netzintern keine feste, sondern 
eine dynamische IP-Adresse zugeordnet, die im GGSN, 
25 ebenfalls in einer Datenbank (3.5), abgelegt ist (ebenfalls 
um Datum und Uhrzeit erganzt) . Die Abfrage erfolgt im 
zweiten Schritt (3.3) 

Fig. 4 zeigt eine alternative erf indungsgemaiSe 
30 Losungsvariante, die sehr okonomisch ausgefuhrt werden 
kann . 

Hier entf alien die AN-Verbindungen zum ICC, die Datenbanken 
sowie Datum- und Uhrzeit-Funktion in den Netzknoten (AN) . 
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Als speichernde Komponente fur die dynamischen Access- 
Parameter wird bei dieser Realisierungsvariante das 
Billing-System verwendet (Customer Care & Billing System 
CCBS) , da dieses in der Kegel sowieso iiber umfangreiche 
5 vorhandene Datenbanken verfiigt, die fur die hier 
beschriebene Anwendung sinngemaE. erweitert werden . 
Insbesondere ist in der Kegel bereits eine Parametrisierung 
bez. genauem Datum und Uhrzeit vorhanden und muss fiir die 
erf indungsgemalSen Zwecke nicht zusatzlich implementiert 

10 werden. Sie kann mitgenutzt werden. Datum und Uhrzeit sind 
in der Kegel fiir die Erstellung eines detaillierten 
Geblihrennachweises vorhanden. Ebenfalls vorhanden sind bei 
dieser Einrichtung in der Kegel umfangreiche Ketrivel- 
Einrichtungen fiir die Datenbanken sowie gesicherte 

15 prof essionelle Backup- Systeme, um gebuhrenrelevante 

gespeicherte Daten nachtraglich rekonstruieren zu konnen. 
All diese Einrichtungen konnen sinnvoll mitgenutzt werden, 
wenn die er f indungsgemaiSen Verbindungsparameter als 
zusatzliche Parameter zu den abgespeicherten Gebiihrendaten 

20 gespeichert werden. Weiterhin ist in aller Kegel ein 
Loschverf ahren vorhanden, wonach Datensatze, die ein 
bestimmtes Alter erreicht haben, aus Datenschutzgriinden 
automatisch geloscht werden. Auch diese Einrichtung kann im 
vorliegenden Fall mitgenutzt werden. 

25 

Das CCBS (4.2) ist beispielsweise mittels Billing Mediation 
Device (BDM 4.3) an den Netzknoten SGSN angeschlossen. 
Im Falle einer Adresstrans formation speichert der 
durchfuhrende Netzknoten (AN 4.2) die Werte in einer 

30 Tabelle oder Datenbank ab und sendet unmittelbar die 
betreffenden Parameter, die die Kommunikation bestimmen 
(hier beispielsweise dynamische IP-Adresse, Port-Adresse, 
Session-Kennung, Timeout etc. im Internet) mittels einer 
Public Address Transmission Message PATM (4.1) an das CCBS 

35 (4.2) . 
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Je nach Ausf iihrungsart wird die Information direkt an das 
CCBS gesandt oder in einem Netzknoten (hier SGSN) 
extrahiert und zum CCBS iibertragen, bzw. im Netzknoten 
5 extrahiert und dort in ein vorhandenen Billing-Protokoll 
als zusatzliche Information eingetragen, welches zum CCBS 
iibertragen wird, 

Besondere Vorteile bestehen darin, wenn die Nachricht vom 
AN zum MT gesandt wird, da im Falle einer 
10 UberwachungsmaSnahme diese Information zusammen mit alien 
anderen teilnehmerspezif ischen Daten im SGSN kopiert zum 
ICC verschickt werden, ohne dass eine Sonderbehandlung fur 
die PATM erforderlich ist. Zusatzlich steht die PATM im MT 
fur unterschiedliche Anwendungen optional zur Verfugung. 

15 

Aktuelle Verbindungsdaten fiir bestehende Uberwachungs falle 
liegen bei dieser Realisierung bereits im ICC vor, 
zuriickliegende Daten und Daten anderer Teilnehmen konnen 
unter Verwendung der CCBS-Datenbank (4.5) recherchiert 
20 werden . 

Auf diese Art und Weise ist garantiert, dass alle 
erf orderlichen Inf ormationen automatisch und unmittelbar 
stets aktuell ubertragen werden, wobei keine zusatzlichen 
25 Leitungsverbindungen zwischen ICC und AN, keine 

ZusatzmaSnahmen im ICC und nur ein geringer Aufwand im AN 
betrieben werden muss . 

Der SGSN muss die PATN seiner zugeordneten Teilnehmer 
30 erkennen, die Adressierungsinf ormation extrahieren und an 
das CCBS senden. Dies ist mit geringem Aufwand moglich, da 
der SGSN sowieso teilnehmerspezif ische Daten fiir das CCBS 
sammelt und die PATM leicht an Protokolltyp und 
Teilnehmeradresse erkennen kann. 
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Als PATM bietet sich beispielsweise die Verwendung einer 
bereits bekannten Protokollkomponente im IP-Protokoll an, 
die im Regelfall im MT nicht benotigt wird und dort keine 
funktionale Reaktion auswirkt . Nutzbare Beispiele dafiir 
5 sind Messages aus dem Internet Control Message Protocol 
ICMP (Ping Echo Message, Information oder Jet Unassigned) 
Oder beispielsweise einem Router-Protokoll (z.B. Open 
Shortest Path First- Hello-Message, ) . Die 
Informationsf elder miissen gemafi den zu libertragenden 
10 Adressierungsinf ormationen gestaltet werden. 

Fig. 5 zeigt eine weitere alternative erf indungsgemaSe 
Losungsvariante . 

15 Die Kommunikation mittels PATM ist vergleichbar Fig. 4. Hier 
kopiert allerdings der SGSN die Nachricht und sendet alle 
PATM aller zugeordneten Teilnehmer als Kopie zum ICC. Der 
Bearbeitungsaufwand ist in diesem Fall besonders gering, da 
der SGSN die betref fenden Nachrichten lediglich erkennen 

20 und teilnehmerunabhangig urn ein Adressfeld erweitert zum 
ICC senden muss. 

In diesem Fall beinhaltet das ICC eine entsprechende 
Datenbank (5.4) mit den gesammelten Datensatzen ftir 
Auskunf tsersuchen . Dies ist von Vorteil, da nicht auf das 

25 Betriebspersonal des CCBS zuriickgegrif f en werden muss. 

Andererseits sind Auskunf tsersuchen wesentlich schneller zu 
bean twor ten, da die ICC-Datenbank fiir diesen Zweck 
optimiert sein kann. Zusatzlich besteht die Moglichkeit, 
diese Daten zu den betref fenden LEAS auf elektronischem Weg 

30 zu ubertragen. Datum und Uhrzeit wird bei dieser 

Realisierunsvariante optional und vorzugsweise im ICC 
erganzt , 

Diese Realisierungsvariante kann dahingehend erweitert 
35 werden, dass die Abfrage von zuruckliegenden 
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Kommunikationsverbindungen ( Auskunf tsersuchen) optional 
iiber die XO_l-Schnittstelle durch den/die LEA/LEAs erfolgen 
kann, wenn die XO_l-Schnittstelle demgemafi erweitert wird. 
Fig. 6 zeigt das derzeitige Schema der ICC-LEA Verbindung 
5 im GSM-Netz (hier mit GPRS-Dienst, gekennzeichnet durch den 
Netzknoten GSN) . Fig 7 zeigt die erf indungsgemafie 
Erweiterung (7.1) der Ref erenzkonf iguration fiir diesen 
Zweck . 
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Zeichxiungen und Azilagen 



Fig. 1: Bekannte Netz- und Interception-Architektur im 
GSM/GPRS-Netz 

5 Fig. 2: Erf indungsgemaSe Uberwachung/Ruckverf olgung fiir 

aktuelle MalSnahmen 
Fig. 3: Erf indungsgemaSe Uberwachung Riickverf olgung fiir 

aktuelle und zuriickliegende MaSnahmen 
Fig. 4: Erf indungsgemafie Uberwachung Riickverf olgung fiir 
10 aktuelle und zuriickliegende MaSnahmen (alternative 

Realisierungsvariante) 
Fig. 5: Erf indungsgemaSe Uberwachung Riickverf olgung fiir 

aktuelle und zuruckliegende MaSnahmen (alternative 

Realisierungsvariante) 
15 Fig. 6: Architektur fiir UberwachungsmaSnahmen (Lawful 

Interception) gemafi ETSI 
Fig. 7: Erf indungsgemafi erweiterte (enhanced) Architektur 

fur tiberwachungsmaSnahme (Lawful Interception) 

gemaS ETSI 



20 



Abkiirzungeii 



AN Access Network 

ADMF Administration Function 

25 AG Application Geteway 

ESS Base Station Subsystem 

BDM Billing Mediation Device 

CCBS Customer Care & Billing System 

DB Datenbasis 

30 ETSI European Telekommunications Standards Institute 

GGSN Gateway GPRS Support Node 

GPRS General Packet Radio System 

GSM Global System for Mobile Communications 

HLR Home Location Register 
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HSCSD High Speed Ciriquit Switched Data (ein Verfahren in 
GSM) 

ICC Interception Control Center 

ICMP Internet Control Message Protocoll 
5 IETF Internet Engineering Task Force 

lEFT Internet Engineering Task Force 
( Standardisierungskremium) 

IMS International Mobile Subscriberidentity 

( Internationale Kennung) 
10 IP Internet Protocoll 

ISP Internet Service Provider 

LEA Law Enforcement Agency 

LI Lawful Interception 

MSC Mobile Switching Center 

15 MSISDN Mobile Station Integrated Services Digital Number 
( Te 1 e f onnummer ) 

MT Mobile Terminal 

NAT Network Address Translation 

NB Notebook 
20 OS Observed Station 

PAT Port Address Translation 

PATM Publick Address Tranmission Message 

PC Personal Computer 

PDP Packet Data Protocoll 

25 RADIUS Remote Access Dial in User Service 

RAS Remote Access 

RFC Request for Comments ( Standardisierungspapier der 

IETF) 

SGSN Switching GPRS Support Node 
30 TCP/IP Transmission Control Protocol /Internet Protocol 
WAP Wireless Application Protocol 



Lit 1: TCP/IP, Dr. Sidnie Feit, McGraw-Hill, ISBN 0-07- 
022069-7, S185 
35 Lit 2: " S. 240 
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Lit 3: ETSI TC Security Group, 201 671 
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Patentansprfiche : 

1 . Verf ahren zur Durchf iihrung von Uberwachungsmafinahmen 
und Auskunf tersuchen in Telekommunikations- und 
5 Datennetzen, in denen Adressierungs- und 

kommunikationsparameter die Herstellung und 

Auf rechterhaltung einer internen und/oder externen 

Kommunikation ubernehmen und 

Adresskonvertierungseinrichtungen die Adressumsetzung 
10 und/oder eine Zuteilung von internen und/oder externen 

dynamischen Adressierungsdaten zu netzinternen 
Koitununikationsteilnehmern und/oder externen 
Kommunikationsteilnehmern und/oder -einrichtungen 
ubernehmen, dadurch gekexinzeiclmet , dass die in den 
15 Adresskonvertierungseinrichtungen (AN) aktuell 

erzeugten Adressierungs- und Kommunikationsparameter 
unter Hinzufiigung weitere Zuweisungsparametern als 
Datensatze abgespei chert werden. 

20 2. Verf ahren nach Anspruch 1, dadurch gekennzeichnet , dass 
die Datensatze in den jeweiligen 

Adresskonvertierungseinrichtungen (AN) abgespeichert 
werden . 

25 3. Verf ahren nach Anspruch 1, dadurch gekennzeichnet, dass 
die Datensatze in einer zentralen Speichereinrichtung 
abgespeichert werden 

4. Verf ahren nach Anspruch 3, dadurch gekennzeichnet, dass 
30 die zentrale Speichereinrichtung (CCBS) netzintern ist. 

5. Verf ahren nach Anspruch 3, dadurch gekennzeichnet, dass 
die zentrale Speichereinrichtung (ICC) netzextern ist. 
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6. Verfahren nach Anspruch 3, dadurch gekennzeichnet , dass 
sich die zentrale Speichereinrichtung im 
Kundenbetreuungs- und -rechungs system (CCBS) befindet. 

5 7. Verfahren nach Anspruch 3, dadurch gekennzeichnet , dass 
sich die zentrale Speichereinrichtung im 
Uberwachungszentrum (ICC) befindet. 

8 . Verfahren nach einen oder mehreren der vorhergehenden 

10 Anspriiche, dadurch gekennzeichnet , dass die Datensatzen 

durch die aktuelle Uhrzeit und das Datum als 
Zuweisungsparameter erganzt werden. 

9 . Verfahren nach einen oder mehreren der vorhergehenden 
15 Ansprtiche, dadurch gekennzeichnet, dass bestehende 

Ubertragungskanale zwischen der netzinternen zentralen 
Speichereinrichung (CCBS) oder den netzexternen 
Speichereinrichtungen (ICC) und einer oder mehreren 
Adresskonvertierungseinrichtungen (AN) flir die 
20 Ubertragung verwendet werden. 

10. Verfahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass separate 
Ubertragungsleitungen zwischen der netzinternen 

25 zentralen Speichereinrichung (CCBS) oder den 

netzexternen Speichereinrichtungen (ICC) und einer oder 
mehreren Adresskonvertierungseinrichtungen (AN) fur die 
Ubertragung verwendet werden . 



30 11. 



Verfahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die Datensatze 
einzeln ubertragen werden. 
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12 . Verf ahren nach einen oder mehreren der vorhergehenden 

Anspriiche, dadurch gekennzeichnet , dass die Datens^tze 
in Sammellisten tibertragen warden. 



5 13 . Verf ahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 
Sairunellisten die Datensatze eines 

Kommunikationsteilnehmers oder einer -einrichtung 
enthalten . 

10 

14. Verf ahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 
Sammellisten die Datensatze mehrere 

Kommunikations teilnehmer oder -einrichtungen enthalten . 

15 

15. Verf ahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 
Speichereinrichtungen (CCBS oder ICC) nach 
verschiedenen Kriterien abgefragt werden konnen. 

20 

16. Verf ahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 
Adresskonvertierungseinrichtungen (AN) automatisch jede 
Adresskonvertierung selbst abspeichern oder an die 

25 zentrale Speichereinrichtung (CCBS oder ICC) iibertragen 

17 . Verf ahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 

Adr e s s konver t i e rung s e inr i ch tungen ( AN ) die 
30 Adressierungs- und Kommunikationsparameter an einen 

zustandigen Netzkonten senden, der diese Parameter fiir 
die zentralen Speichereinrichtungen aufbereitet und 
weiterleitet 
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18. Verfahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet , dass der jeweilige 
Netzknoten die Parameter an eine mobile 
Abf rageeinrichtung (MT) ausgibt, die gleichzeitig ein 
5 Teilnehmer der zu uberwachenden 

Kommunikationsverbindung sein kann, und gleichzeitig 
eine Kopie der Datensatze an die zentrale 
Speichereinrichtung (CCBS oder ICC) weiterleitet . 

10 19 . Verfahren nach einen oder mehreren der vorhergehenden 
Anspruche, dadurch gekennzeichnet, dass die in den 
internen Speichereinrichtungen (CCBS) bereits vorhanden 
Einrichtungen zur Protokollierung von Uhrzeit und Datum 
mit genutzt werden und alle Datensatze dort 

15 abgespeichert werden. 

20. Verfahren nach einen oder mehreren der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass die 

abf rageoptimierte externe Speichereinrichtung (ICC) nur 
20 liber gesicherte Ubertragung von einem oder mehreren 

abf rageberechtigten Stellen (LEA) abgefragt werden 
kann. 

21. Verfahren nach einen oder mehreren der vorhergehenden 
25 Anspriiche, dadurch gekennzeichnet, dass die Verbindung 

der abf rageberechtigten Stelle (LEA) tiber eine XO-1- 
Schnittstelle der Ref erenzkonf iguration (ETSI TC-SEC, 
201 671) um die Funktionalitat zum Zugriff auf eine 
optionale Datenbank (DB) erweitert ist und die Abfragen 
30 im Remote-Betrieb moglich sind. 
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